IBM QRadar Master Class Reeks, QID-Reeks(4), QID's creëren en bewerken

Ir. Pieter Nierop, Q-Musketeers

Technische Documentatie Q-Radar Master Class

Utrecht, 30 Maart 1017

QID-Reeks (4)

QID’s creëren en bewerken

QID’s moeten momenteel nog via de commandline gemanaged worden met de utility qidmap_cli.sh. Binnen Q-Rader bestaat er momenteel nog geen grafische interface voor QID’s.

Alle QID’s die u aan kunt maken, bewerken staan in de zogenaamde QID-map en iedere QID bevat de volgende 6 velden die u al dan niet kunt invullen:

·      name (maximal 255 characters, zonder spaties) (Event Name)

·      description (maximal 2048 characters, zonder spaties) (Event Description)

·      severity (een waarde tussen 1 en 10)

·      lowlevelcategoryid (zie de admin guide) (Low Level Category)

·      Event Category

·      Vulnerability Data

Normaal gesproken heeft u alleen te maken met de name, description, severity en lowlevelcategoryid.

Het verwijderen van QID’s is niet mogelijk.

QID creëren

Het creëren van een QID doet u door met SSH (bijvoorbeeld Putty) als root user in te loggen op QRadar. Typ vervolgens:

 cd /opt/qradar/bin

en gebuik daarna de qidmap_cli.sh met de optie -c van create.

qidmap_cli.sh -c --qname <name> --qdescription <description> --severity <severity> --lowlevelcategoryid <ID>

QID bewerken

Op een vergelijkbare wijze kunt u ook QID’s aanpassen (modificeren).

Het aanpassen van een QID doet u door met SSH (bijvoorbeeld Putty) als root user in te loggen op QRadar. Typ vervolgens:

 cd /opt/qradar/bin

en gebuik daarna de qidmap_cli.sh met de optie -m van modify.

qidmap_cli.sh -m --qid<QID> --qname <name> --qdescription <description> --severity <severity>

Copyright 2017 © Pieter Nierop

IBM QRadar Master Class Reeks, QID-Reeks (3), Relaties tussen QID's, Buidling Blocks en Rules

Ir. Pieter Nierop, Q-Musketeers

Technische Documentatie Q-Radar® Master Class

Utrecht, 20 Maart 1017

QID-Reeks (3)

Relatie tussen QID’s, Building Blocks en Rules

Gebeurtenissen in uw netwerk komen bij Q-Radar binnen op een Event Collector of Flow Collector. Deze gebeurtenissen worden allereerst geschikt gemaakt voor Q-Radar en daarbij omgevormd tot zogenaamde Q-Radar events.

Tijdens het proces van het creëren van Q-Radar geschikte events wordt onder andere de inhoud van de binnenkomende berichten geanalyseerd en keurig in kolommen geplaatst. Dit wordt met regex (regular expressions) gedaan. Zo komen source ip en destination ip van een bericht van een firewall keurig in ieders hun eigen kolom. Dit proces vindt plaats in de zogenaamde event pipeline. In de event pipeline vinden nog veel meer processen plaats maar dat valt buiten de scope van dit artikel.

Naast het in kolommen plaatsen van de onderdelen van het bericht dient u per gebeurtenis ook nog aan te geven wat voor soort bericht het betreft. Bij een firewall kan dit bijvoorbeeld een “firewalll deny” betreffen of een “firewall permit”.

Een “firewall deny” of een “firewall permit” kan gekoppeld worden aan een QID (Q-Radar Identifier). QID’s zijn voor Q-Radar bekende gebeurtenissen die herkent kunnen worden. Wil Q-Radar een binnenkomend bericht herkennen, dan dient het binnenkomende bericht moet zeg maar op z’n plaats te vallen. Daar zijn QID’s voor.

Binnen Q-Radar zijn rules gebouwd die in de gaten houden of bepaalde gebeurtenissen, QID’s, optreden. Op basis van de rules kunnen acties in gang gezet worden waaronder bijvoorbeeld het versturen van een syslog bericht, of het creëren van een offense (incident), of het genereren van een nieuwe gebeurtenis (event).

Stel u wil geïnformeerd worden als er meer dan 50 keer per minuut een “firewall deny” optreedt op een specifieke firewall. Binnen Q-Radar bestaat er dan al een rule die “excessive firewall denies” in de gaten houdt voor u. U moet alleen nog maar aan Q-Radar vertellen dat de gebeurtenis die van uw firewall afkomstig is een “firewall deny” betreft (dus dat een specifiek QID opgetreden is). Dit wordt gedaan bij het mappen van events naar QID’s.

Building blocks zijn nagenoeg hetzelfde als rules, met het verschil dat ze geen rule response hebben. Ze voeren zeg maar in-memory tussenevaluaties uit voor een of meerdere rules. Ook in building blocks kan in de gaten gehouden worden of bepaalde QID’s al dan niet optreden.

Het is voor een Q-Radar specialist natuurlijk interessant om te weten in welke rules en building blocks bepaalde QID’s gebruikt worden. Indien je een event naar een bepaalde QID mapt wil je natuurlijk weten welke rules en buildingblokken dan zaken voor je in de gaten gaan houden. Of als je een bepaalde mapping wegneemt wil je natuurlijk weten welke rules niet meer functioneren of anders functioneren.

Deze gegevens zijn te vinden in de Vanila database. Dit is een database die de ontwikkelaar van Q-Radar in de VS en Canada gebruiken. De database wordt wel eens publiekelijk door IBM gedeeld op Masterclasses. De database wordt continue bijgewerkt omdat er continue nieuwe netwerk componenten en hosts op de markt komen en dergelijke systemen ook gewijzigd worden. Dat noodzaakt IBM om voortdurend de QID-Map aan te passen bij iedere release en tijdens DSM updates. In de Vanila database is het mogelijk om alle relaties te vinden tussen High Level QID’s, Low Level QID’s, Rules en Building Blocks.

Copyright 2017 © Pieter Nierop

www.q-musketeers.com

® Q-Radar is a trademark owned by IBM

IBM Q-Radar Master Class Reeks - De QID’s die bestaan in Q-Radar, QID-Reeks (2)

Ir. Pieter Nierop, Q-Musketeers

Technische Documentatie Q-Radar® Masterclass

Utrecht, 19 Maart 1017

QID-Reeks (2)

De QID’s die bestaan in Q-Radar

Voor het begrijpen van QID’s die hier besproken worden adviseer ik u eerst QID-Reeks (1), “Wat QID's zijn" te lezen. In dit artikel wordt ingegaan op de categorieën van QID's die binnen Q-Radar bestaan.

In Q-Radar zijn QID’s te vinden in de QID map. De QID-map bestaat uit QID’s die op verschillende manieren in te delen zijn. Voer voor het verkrijgen van de volledige lijst van QID’s het volgende commando uit: /opt/qradar/bin/idlist.sh -e qid > <filename.txt>

High-Level en Low Level QID’s

Allereerst bestaat er de indeling in High-Level QID's en Low-Level QID's. Een voorbeeld van een High-Level QID is een authenticatie gebeurtenis. Binnen de High Level QID authenticatie gebeurtenis bestaan meerdere Low-Level QID's, zoals bijvoorbeeld: 

-administrator successful login

-adminstrator failed login

-user successful login

-user failed login

System created QID’s en User created QID’s

In de tweede plaats bestaat er een indeling in system created QID’s en user created QID’s. System created QID’s zijn QID’s die aangemaakt zijn door Q-Radar tijdens de installatie of tijdens een update van een DSM. De QID’s hebben een waarde tussen 0 en 2.000.000. De system created QID’s in een 7.2.0 versie van Q-Radar verschillen ten opzichte van een 7.2.6, 7.2.8 of 7.3 versie. Ook binnen 7.2.8 kan de QID map van systeem tot systeem verschillen. Dit is namelijk afhankelijk van de uitgevoerde DSM updates.

User created QID’s zijn QID’s die door de gebruiker aangemaakt zijn omdat ze binnen QRadar ontbreken en voor het uitvoeren van analyses met behulp van building blocks en rules of searches noodzakelijk zijn. User created QID’s zijn genummerd  tussen 2.000.000 en 2.250.000. Met behulp van het script opt/qradar/bin/qidmap_cli.sh kunnen QID’s aangemaakt worden en opgevraagd worden.

QID’s per systeem

Er is nog een derde indeling te maken van QID’s op basis van systemen. QID’s hebben een naam, categorie, nummer, severity en omschrijving. Bepaalde reeksen van QID’s horen bij elkaar en zijn gerelateerd aan een specifiek systeem. Zo zijn er authenticatie events van Windows systemen en Authenticatie events van Linux systemen ieders met hun eigen Low Level QID’s. Ook zijn er QID’s die toebehoren aan een Cisco firewall of een bepaald type DHCP server. Er zijn binnen Q-Radar vele blokken van QID’s gereserveerd die toebehoren aan een bepaald soort systeem.

Copyright 2017 © Pieter Nierop

www.q-musketeers.com

® Q-Radar is a trademark owned by IBM